AWS SSM ディスカバリー
AWSSystems Manager (SSM) エージェント検出では、AWS SSM を使用して AmazonElastic Compute Cloud (EC2) を検出するための、簡素化されたエージェントベースのアプローチが導入され。この統合により、SSM エージェントを活用して従来のMID サーバー構成への依存度を減らし、認証情報管理を簡素化し、マルチリージョン環境全体のスケーラビリティを向上させることで、ディスカバリーが強化されます。
Workflow
- ServiceNow AI Platform®はディスカバリーコマンドをMID サーバーに送信します。
- MID は、 AWS サービス (SSM、Simple Storage Service (S3)、パラメーターストア) とやり取りして、ターゲットデバイスでコマンドを実行します。
- SSM エージェントはコマンドを実行し、結果を S3 に返します。
- MID は結果を取得して処理します。
- MID は、ECC キューを介して結果を ServiceNow AI Platform® に送り返し、ECC キューによって CMDBが更新されます。
メリットと使用法
- オペレーティングシステムに対してローカルな追加の認証情報を必要とせずにディスカバリーを実行できます。
- エージェントクライアントコレクター (ACC) または仮想プライベートクラウド (VPC) アクセスを必要とせずに、展開を簡素化します。
- 複数の MID サーバー の必要性を最小限に抑え、ターゲットデバイスへの直接ネットワークアクセスを実現します。
- AWSサービスを使用して認証情報とコマンド実行を安全に管理します。
要件
- ディスカバリー
- クラウドディスカバリーワークスペース バージョン 1.7.1 以降。
- CMDB CI クラスモデル バージョン 1.74.0 以降。
- ディスカバリーとサービスマッピングパターン バージョン 1.27.0 以降。
MID サーバー をインストールします。詳細については、「 MID サーバーのインストールと構成」を参照してください。
管理アクセス権を持つ AWS ユーザーアカウントがあることを確認します。
discovery_admin ロールを持つ ServiceNow AI Platform® ユーザーアカウントがあることを確認します。
サポートされていない機能
現在、次の機能は SSM ディスカバリー AWS をサポートしていません。
- ファイルベースの検出
- 証明書ベースのディスカバリー
- トップダウンディスカバリー
- 拡張 ADM
- パターン内のユーザー変更/変更解除ステップ
AWS 環境設定
- IAM ロールと権限の作成
- AWS SSM 操作をサポートする Identity and Access Management (IAM) ロールを定義し、読み取り、書き込み、およびリストコマンドの実行に必要な権限を指定します。詳細については、「IAM ポリシー」を参照してください
- EC2 のロールとインスタンスの設定
- EC2 ロールを作成し、これらのロールが SSM とやり取りするために必要なアクセス許可を割り当てます。EC2 インスタンスのセットアップの詳細については、「 EC2 インスタンス」を参照してください。
- S3 バケットを作成
- 大規模なデータ転送をサポートする S3 バケットを作成し、適切なバケットポリシーとライフサイクルルールを設定します。SSM の 24,000 文字の出力制限を克服するために、コマンド出力は S3 にリダイレクトされ、完全なペイロードキャプチャが可能になります。さらに、S3 は EC2 インスタンスへのファイル転送を容易にします。S3 バケットの作成の詳細については、「 S3 バケットのセットアップ」を参照してください。
- (オプション)KMS キーの設定
- カスタム AWS Key Management Service (KMS) キーを作成して、 AWS Systems Manager パラメータストアに SecureString パラメータとして保存されている機密性の高い認証情報を暗号化します。専用キーを使用すると、認証情報がプレーン テキストで公開されることなく、実行時に暗号化され、安全に取得されることを確認できるため、セキュリティが強化されます。KMS キーの作成の詳細については、「 カスタマー管理の AWS KMS キーを作成する」を参照してください。重要:ディスカバリー で適用可能な認証情報を使用している場合は、カスタム KMS キーを作成する必要があります。
- カスタム SSM ドキュメントのインポート
- SSM コマンドの実行は、必要なドキュメントの可用性によって異なります。SSM ベースのディスカバリーを開始する前に、 ServiceNow によって提供されるすべての YAML ファイルが、ディスカバリープロセスが実行される各 AWS リージョンに正常に展開されていることを確認します。このプロセスの詳細については、「 カスタム AWS ドキュメントのインポート」を参照してください。YAML ファイルは、この記事から直接ダウンロードできます。
AWS マネジメントコンソールの設定の詳細については、Now Support ナレッジベース の「Amazon SSM ディスカバリー - AWS 環境のセットアップ手順」の記事を参照してください。
ServiceNow AI Platform® インスタンス構成
- システムプロパティを構成
- 次の ディスカバリー システムプロパティを有効にします。
- glide.discovery.enable_ssm
- glide.discovery.ssm.enable_windows
AWS SSM Agent はルート (Linux) または SYSTEM (Windows) 権限で実行されるため、SSM Agent を介して送信されるすべてのコマンドは、フルシステムアクセスで実行できます。この高レベルのアクセスのため、セキュリティ上の理由からSSMはデフォルトでオフになっています。詳細については、「AWS SSM ベースのディスカバリーを有効にする」を参照してください。
- ルート資格情報と非ルート資格情報の定義
-
MID サーバープロパティmid.discovery.aws_ssm.linux.fallback_root_userを使用すると、EC2 インスタンスをデフォルトでルートユーザーに設定できます。既定では、この設定は false ですが、代替ユーザー資格情報を設定しない場合は、root としてコマンドを実行できるようにすることができます。この設定をオフのままにする場合は、 AWS SSM インスタンスユーザー [aws_ssm_instance_user_credentials] テーブルに認証情報レコードを作成し、インスタンスでコマンドを実行するために使用するユーザー名を入力する必要があります。詳細については、「ルートフォールバックを有効にする」および「カスタムユーザー認証情報の設定」を参照してください。
- MID サーバー プロパティの設定
- AWS マネジメントコンソールで KMS キーまたは S3 バケットをセットアップしたら、ServiceNow AI Platform® で次の MID サーバー システムプロパティを設定します。
- mid.discovery.aws_ssm.kms_key_name
- mid.discovery.aws_ssm.kms_key_region
- mid.discovery.aws_ssm.s3_bucket_name
- mid.discovery.aws_ssm.s3_bucket_region
- MID サーバー機能を有効にする
- MID サーバー が SSM ディスカバリーの実行をサポートできるようにAWSSSM の新しい MID サーバー 機能を有効にする必要があります。デフォルトでは、[すべて] 機能を使用している場合、この機能は含まれます。ただし、個々の機能を使用している場合は、新しい AWS SSM 機能を MID サーバーに手動で追加する必要があります。機能の追加については、「 」を参照してください。
クラウドディスカバリー スケジュール構成
- クラウドディスカバリースケジュールを作成
- SSM ディスカバリーは、ディスカバリーアドミンワークスペース の AWS ベースのクラウドディスカバリースケジュール内で展開できます。これを行うには、[詳細ディスカバリー] ステップに移動し、[IP ベースのディスカバリースケジュールを作成] トグルを有効にして、ディスカバリー方法として [AWS Systems Manager (SSM) エージェントからサーバーを検出する] を選択します。詳細については、「ディスカバリーアドミンワークスペース での AWS ディスカバリースケジュールの作成」を参照してください。